Panoramica di Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) consente di creare e gestire chiavi CMEK per utilizzarle nei servizi Google Cloud compatibili e nelle tue applicazioni. Con Cloud KMS puoi:

  • Genera chiavi software o hardware, importa chiavi esistenti in Cloud KMS o collega chiavi esterne nel tuo sistema di gestione delle chiavi esterne (EKM) compatibile.

  • Utilizza le chiavi di crittografia gestite dal cliente (CMEK) nei prodotti Google Cloud con l'integrazione delle chiavi CMEK. Le integrazioni CMEK utilizzano le tue chiavi CMEK per criptare o "sottoporre a wrapping" le chiavi di crittografia dei dati (DEK). L'applicazione di wrapping alle DEK con le chiavi di crittografia della chiave (KEK) è chiamata crittografia dell'involucro.

  • Utilizza Autokey di Cloud KMS per automatizzare il provisioning e l'assegnazione. Con Autokey, non è necessario eseguire il provisioning di keyring, chiavi e account di servizio in anticipo. Vengono invece generati su richiesta nell'ambito della creazione delle risorse.

  • Utilizza le chiavi Cloud KMS per le operazioni di crittografia e decrittografia. Ad esempio, puoi utilizzare l'API Cloud KMS o le librerie client per utilizzare le tue chiavi Cloud KMS per la crittografia lato client.

  • Utilizza le chiavi Cloud KMS per creare o verificare firme digitali o firme con codice di autenticazione del messaggio (MAC).

Scegli la crittografia adatta alle tue esigenze

Puoi utilizzare la seguente tabella per identificare il tipo di crittografia che soddisfa le tue esigenze per ogni caso d'uso. La soluzione migliore per le tue esigenze potrebbe includere un insieme di approcci di crittografia. Ad esempio, puoi utilizzare chiavi software per i dati meno sensibili e chiavi hardware o esterne per i dati più sensibili. Per ulteriori informazioni sulle opzioni di crittografia descritte in questa sezione, consulta Proteggere i dati in Google Cloud in questa pagina.

Tipo di crittografia Costo Servizi compatibili Funzionalità
Chiavi di proprietà e gestite da Google (crittografia predefinita di Google Cloud) Inclusa Tutti i servizi Google Cloud che archiviano i dati dei clienti
  • Nessuna configurazione richiesta.
  • Cripta automaticamente i dati dei clienti salvati in qualsiasi servizio Google Cloud.
  • La maggior parte dei servizi ruota automaticamente le chiavi.
  • Supporta la crittografia con AES-256.
  • Convalida FIPS 140-2 Livello 1.
Chiavi di crittografia gestite dal cliente - software
(chiavi Cloud KMS)
0,06 $ per versione di chiave Più di 40 servizi
Chiavi di crittografia gestite dal cliente - hardware
(chiavi Cloud HSM)
Da 1,00 $ a 2,50 $per versione della chiave al mese Più di 40 servizi
Chiavi di crittografia gestite dal cliente - esterne
(chiavi EKM cloud)
3,00 $ per versione della chiave al mese Più di 30 servizi
  • Controlli i ruoli e le autorizzazioni IAM, nonché le versioni delle chiavi, che puoi attivare, disattivare o eliminare.
  • Le chiavi non vengono mai inviate a Google.
  • Il materiale della chiave si trova in un provider di gestione delle chiavi esterne (EKM) compatibile.
  • I servizi Google Cloud compatibili si connettono al tuo fornitore EKM tramite internet o un Virtual Private Cloud (VPC).
  • Supporta le chiavi simmetriche per la crittografia e la decrittografia.
  • Ruota manualmente le chiavi in coordinamento con Cloud EKM e il tuo provider EKM.
  • Convalidato secondo lo standard FIPS 140-2 di livello 2 o 3, a seconda dell'EKM.
  • Le chiavi sono univoche per un cliente.
Crittografia lato client utilizzando le chiavi Cloud KMS Il costo delle versioni della chiave attive dipende dal livello di protezione della chiave. Utilizza le librerie client nelle tue applicazioni
  • Puoi controllare la pianificazione della rotazione automatica delle chiavi; i ruoli e le autorizzazioni IAM; attivare, disattivare o distruggere le versioni delle chiavi.
  • Supporta chiavi simmetriche e asimmetriche per crittografia, decrittografia, firma e convalida della firma.
  • La funzionalità varia in base al livello di protezione della chiave.
Chiavi di crittografia fornite dal cliente Potrebbe aumentare i costi associati a Compute Engine o Cloud Storage
  • Fornisci i materiali chiave, se necessario.
  • Il materiale delle chiavi risiede in memoria: Google non archivia permanentemente le tue chiavi sui suoi server.
Confidential Computing Costo aggiuntivo per ogni VM riservata; potrebbe aumentare l'utilizzo dei log e i costi associati
  • Fornisce la crittografia in uso per le VM che gestiscono dati o carichi di lavoro sensibili.
  • Google non può accedere alle chiavi.

Protezione dei dati in Google Cloud

Chiavi di proprietà e gestite da Google (crittografia predefinita di Google Cloud)

Per impostazione predefinita, i dati inattivi in Google Cloud sono protetti dalle chiavi in Keystore, il Key Management Service interno di Google. Le chiavi nel Keystore vengono gestite automaticamente da Google, senza alcuna configurazione da parte tua. La maggior parte dei servizi ruota automaticamente le chiavi. Il keystore supporta una versione chiave primaria e un numero limitato di versioni precedenti delle chiavi. La versione della chiave primaria viene utilizzata per criptare le nuove chiavi di crittografia dei dati. Le versioni precedenti della chiave possono essere ancora utilizzate per decriptare le chiavi di crittografia dei dati esistenti. Non puoi visualizzare o gestire queste chiavi o esaminare i log di utilizzo delle chiavi. I dati di più clienti potrebbero utilizzare la stessa chiave di crittografia della chiave.

Questa crittografia predefinita utilizza moduli crittografici convalidati come conformi allo standard FIPS 140-2 livello 1.

Chiavi di crittografia gestite dal cliente (CMEK)

Le chiavi Cloud KMS utilizzate per proteggere le risorse nei servizi integrati con le chiavi CMEK sono chiavi di crittografia gestite dal cliente (CMEK). Puoi possedere e controllare le chiavi CMEK, delegando al contempo le attività di creazione e assegnazione delle chiavi a Cloud KMS Autokey. Per scoprire di più sull'automazione del provisioning per i CMEK, consulta Cloud Key Management Service con Autokey.

Puoi utilizzare le tue chiavi Cloud KMS nei servizi compatibili per aiutarti a raggiungere i seguenti obiettivi:

  • Possiedi le tue chiavi di crittografia.

  • Controlla e gestisci le tue chiavi di crittografia, inclusa la scelta della posizione, del livello di protezione, della creazione, controllo dell'accesso, della rotazione, dell'utilizzo e della distruzione.

  • Eliminare in modo selettivo i dati protetti dalle tue chiavi in caso di offboarding o per risolvere gli eventi di sicurezza (crypto-shredding).

  • Crea chiavi monotenant dedicate che stabiliscono un confine di crittografia intorno ai tuoi dati.

  • Registra l'accesso amministrativo e ai dati alle chiavi di crittografia.

  • Soddisfare le normative attuali o future che richiedono uno di questi obiettivi.

Quando utilizzi le chiavi Cloud KMS con servizi integrati con CMEK, puoi utilizzare i criteri dell'organizzazione per assicurarti che le chiavi CMEK vengano utilizzate come specificato nei criteri. Ad esempio, puoi impostare un criterio dell'organizzazione che garantisca che le tue risorse Google Cloud compatibili utilizzino le tue chiavi Cloud KMS per la crittografia. I criteri dell'organizzazione possono anche specificare il progetto in cui devono risiedere le risorse chiave.

Le funzionalità e il livello di protezione forniti dipendono dal livello di protezione della chiave:

  • Chiavi software: puoi generare chiavi software in Cloud KMS e usarle in tutte le località Google Cloud. Puoi creare chiavi simmetriche con rotazione automatica o chiavi asimmetriche con rotazione manuale. Le chiavi software gestite dal cliente utilizzano moduli di crittografia software convalidati secondo lo standard FIPS 140-2 livello 1. Hai anche il controllo sul periodo di rotazione, su ruoli e autorizzazioni di Identity and Access Management (IAM) e sui criteri dell'organizzazione che regolano le tue chiavi. Puoi utilizzare le tue chiavi software con oltre 40 risorse Google Cloud compatibili.

  • Chiavi software importate: puoi importare le chiavi software che hai creato altrove per utilizzarle in Cloud KMS. Puoi importare nuove versioni della chiave per girare manualmente le chiavi importate. Puoi utilizzare i ruoli IAM, le autorizzazioni e i criteri dell'organizzazione per regolamentare l'utilizzo delle chiavi importate.

  • Chiavi hardware e Cloud HSM: puoi generare chiavi hardware in un cluster di moduli di sicurezza hardware (HSM) FIPS 140-2 di livello 3. Hai il controllo sul periodo di rotazione, su ruoli e autorizzazioni IAM e sui criteri dell'organizzazione che regolano le tue chiavi. Quando crei chiavi HSM utilizzando Cloud HSM, Google gestisce i cluster HSM per te. Puoi utilizzare le tue chiavi HSM con oltre 40 risorse Google Cloud compatibili, gli stessi servizi che supportano le chiavi software. Per il massimo livello di conformità alla sicurezza, utilizza le chiavi hardware.

  • Chiavi esterne e Cloud EKM: puoi utilizzare le chiavi memorizzate in un gestore di chiavi esterno (EKM). Cloud EKM ti consente di utilizzare le chiavi memorizzate in un gestore delle chiavi supportato per proteggere le tue risorse Google Cloud. Puoi connetterti all'EKM tramite internet o tramite un Virtual Private Cloud (VPC). Alcuni servizi Google Cloud che supportano chiavi software o hardware non supportano le chiavi EKM di Cloud.

Chiavi Cloud KMS

Puoi utilizzare le tue chiavi Cloud KMS in applicazioni personalizzate utilizzando le librerie client Cloud KMS o l'API Cloud KMS. Le librerie client e l'API ti consentono di criptare e decriptare i dati, firmarli e convalidare le firme.

Chiavi di crittografia fornite dal cliente (CSEK)

Cloud Storage e Compute Engine possono utilizzare chiavi di crittografia fornite dal cliente (CSEK). Con le chiavi di crittografia fornite dal cliente, memorizzi il materiale della chiave e lo fornisci a Cloud Storage o Compute Engine in base alle necessità. Google non memorizza i tuoi CSEK in alcun modo.

Confidential Computing

In Compute Engine, GKE e Dataproc, puoi utilizzare la piattaforma Confidential Computing per criptare i dati in uso. La tecnologia Confidential Computing garantisce che i tuoi dati rimangano privati e criptati anche durante l'elaborazione.